富士ゼロックス製インスト―ラー、DocuWorks- 複数の脆弱性

富士ゼロックス株式会社が提供する複数の製品のインストーラーおよび DocuWorks 自己解凍文書には、DLL を読み込む際や、自己解凍文書を実行する際の検索パスに問題があり、意図しない DLL を読み込んでしまう脆弱性が存在します。

以下の脆弱性が報告されています。
・インストーラー起動時に管理者権限で任意のコードを実行される – CVE-2017-10848, CVE-2017-10850, CVE-2017-10851
・DocuWorks自己解凍文書を実行したユーザの権限で任意のコードを実行される – CVE-2017-10849
——————————————————————————–

【影響を受けるシステム】

次の 富士ゼロックス製品が対象です。
•ContentsBridge Utility for Windows 7.4.0 およびそれ以前のインストーラー(CVE-2017-10851)
•DocuWorks 8.0.7 およびそれ以前のインストーラー(CVE-2017-10848)
•DocuWorks 8.0.7 およびそれ以前により生成された自己解凍文書
•DocuWorks Viewer Light インストーラー 登録日2017年7月以前のパッケージ(CVE-2017-10848)
•ApeosPort-VI C7771/C6671/C5571/C4471/C3371/C2271 向け ART EX ドライバーのインストーラー (デジタル署名のタイムスタンプが日本時間 2017年4月12日 11:04 以前)(CVE-2017-10850)
•ApeosPort-VI C7771/C6671/C5571/C4471/C3371/C2271 向け PostScript ドライバー Microsoft Pscript用 + 機能追加 PlugIn + PPDファイル インストーラー (デジタル署名のタイムスタンプが日本時間 2017年4月12日 11:10 以前)(CVE-2017-10850)
•ApeosPort-VI C7771/C6671/C5571/C4471/C3371/C2271 向け XPS 対応ドライバーのインストーラー (デジタル署名のタイムスタンプが日本時間 2016年11月4日 08:48 以前)(CVE-2017-10850)
•ApeosPort-VI C7771/C6671/C5571/C4471/C3371/C2271 向け ART EXダイレクトファクスドライバーのインストーラー(デジタル署名のタイムスタンプが日本時間 2017年5月26日 16:44 以前)(CVE-2017-10850)
•ApeosPort-VI C7771/C6671/C5571/C4471/C3371/C2271 向け設定復元ツールのインストーラー (デジタル署名のタイムスタンプが日本時間 2015年8月25日 17:51 以前)(CVE-2017-10850)
•DocuCentre-VI C7771/C6671/C5571/C4471/C3371/C2271 向け ART EX ドライバーのインストーラー (デジタル署名のタイムスタンプが日本時間 2017年4月12日 11:04 以前)(CVE-2017-10850)
•DocuCentre-VI C7771/C6671/C5571/C4471/C3371/C2271 向け PostScript ドライバー Microsoft Pscript用 + 機能追加 PlugIn + PPDファイル インストーラー (デジタル署名のタイムスタンプが日本時間 2017年4月12日 11:10 以前)(CVE-2017-10850)
•DocuCentre-VI C7771/C6671/C5571/C4471/C3371/C2271 向け XPS 対応ドライバーのインストーラー (デジタル署名のタイムスタンプが日本時間 2016年11月4日 08:48 以前)(CVE-2017-10850)
•DocuCentre-VI C7771/C6671/C5571/C4471/C3371/C2271 向け ART EXダイレクトファクスドライバーのインストーラー(デジタル署名のタイムスタンプが日本時間 2017年5月26日 16:44 以前)(CVE-2017-10850)
•DocuCentre-VI C7771/C6671/C5571/C4471/C3371/C2271 向け設定復元ツールのインストーラー (デジタル署名のタイムスタンプが日本時間 2015年8月25日 17:51 以前)(CVE-2017-10850)

——————————————————————————–

【対策方法】
CVE-2017-10848, CVE-2017-10850, CVE-2017-10851 向け対策
[最新のインストーラーを使用する]
開発者が提供する情報をもとに、最新のインストーラーを使用してください。
なお、本脆弱性の影響を受けるのはインストーラーの起動時のみのため、既存のユーザはソフトウェアをアップデートする必要はありません。

CVE-2017-10849 向け対策
[アップデートする]
開発者が提供する情報をもとに、最新版へアップデートしてください。

[ワークアラウンドを実施する]
当該製品の最新版には、自己解凍文書作成機能は含まれていません。
既存のDocuWorks自己解凍文書を利用する場合は、空の新規フォルダを作成し、その中に DocuWorks自己解凍文書(exe ファイル) を格納してから、起動して下さい。
詳しくは、製品開発者が提供する情報をご確認ください。